COMPAREX AG
Ransomware: So können sich Unternehmen schützen!

Ransomware: So können sich Unternehmen schützen!

Immer mehr Unternehmen sind heutzutage durch Angriffe von Ransomware bedroht. Dabei handelt es sich um Schadprogramme, die Daten auf fremden Computern verschlüsseln. Ziel dieser Angriffe: Lösegeld (englisch: ransom), damit die Geschädigten wieder auf ihre Daten zugreifen können. Wie professionell und perfide die Angreifer vorgehen und wie schwerwiegend die Folgen sein können, zeigt folgender Beitrag. Außerdem nehmen wir das neue Produkt Intercept X von Sophos genauer unter die Lupe. Was kann das Tool, mit dem der Security-Hersteller Ransomware den Kampf angesagt hat?

Ein Blogbeitrag von Dirk Frießnegg, Solution Advisor IT Security

Warum Ransomware und Cyberkriminalität ein lukratives Geschäft sind

Ransomware – vielfach auch Kryptotrojaner oder Erpressungstrojaner genannt – gibt es in unterschiedlichsten Varianten. So machte 2013 CryptoLocker die Runde. 2016 sah man sich dann mit einer neuen Generation von Ransomware konfrontiert. Locky, Goldeneye, Stampado sind nur ein paar wenige Beispiele für Schadsoftware, die noch professioneller, effektiver und perfider zu Werke gingen. Und die seitdem auch nicht vollständig von der Bildfläche verschwunden sind.

Betroffen von diesen Angriffen waren und sind, kurz gesagt, alle! Der Privatperson tun die durchschnittlich 250 US-Dollar Lösegeldzahlung sicherlich genauso weh wie dem Krankenhaus, dessen komplette Dateien (Patientendokumente!) auf einen Schlag unbrauchbar geworden sind. Es heißt, ein US-Krankenhaus habe sich für umgerechnet rund 16.000 US Dollar freigekauft. Die Frage ist also: Wie viel sind Ihnen Ihre Unternehmensinformationen (Firmeninterna, Prototypen, Verträge etc.) wert und was bedeutet für Sie der Verlust?

Für die Angreifer jedenfalls bedeutet Ransomware ein einträgliches Geschäft! „Malware as a Service“-Programme (sofort einsatzbereit!) werden im Darknet teilweise zu Spottpreisen angeboten. Letztlich ist der Markt für Cyberkriminalität inzwischen größer und lukrativer als das Volumen des internationalen Drogenhandels. Die Devise scheint auch hier zu sein: Bringe den Stoff möglichst breit auf den Markt. Wer vielen ein wenig weh tut, erntet mehr als wenn er ein paar wenigen viel Leid zufügt.

Nachricht auf einem mit Ransomware infizierten Desktop
[Abb.: Nachricht auf einem mit Ransomware infizierten Desktop, Quelle: Sophos]

Was Schadsoftware so tückisch macht

Die Angreifer gehen höchst professionell vor. Ihre Attacken haben eine hohe Qualität, sind äußerst effektiv und auch sehr weit verbreitet. Die Infizierung mit einem Verschlüsselungstrojaner erfolgt meist per E-Mail, wobei sich die Angreifer klassischer Hilfsmittel wie Microsoft Office Programmen bedienen, in denen sie die Malware verstecken.

Wer nun aber glaubt, man könne verdächtige Mails immer leicht identifizieren, der irrt!

Die Mails vom vermeintlichen nigerianischen Prinzen, oft in schlecht übersetztem Deutsch verfasst, sollten inzwischen jedem, der regelmäßig digital unterwegs ist, als SPAM geläufig sein. Nicht unbekannt dürften auch Mails mit dubiosen Rechnungen im Anhang sein. Die Erfahrung zeigt jedoch: Bei aller gesunden Vorsicht… Der Mensch ist ein neugieriges und leichtgläubiges Wesen, so dass Skepsis allein nicht immer reicht, um sich zu schützen.

Für Unternehmen können Schulungen ein probates Mittel sein, um die eigenen Mitarbeiter zu sensibilisieren. Bloß, erreiche ich damit tatsächlich jeden Mitarbeiter, also auch den 14-jährigen Praktikanten? Wohl kaum. Und überhaupt: woran soll ich eine infizierte Mail erkennen, wenn der Angreifer zielgerichtet vorgeht? Es sind Fälle bekannt, in denen Personalabteilungen auf ausgeschriebene Stellenangebote hin Bewerbungsschreiben erhielten, die tatsächlich mit Malware infiziert waren. Wie will man einem solchen Angriff entgegnen?

Wer bedenkt, dass die Angreifer mit Ticket-Systemen agieren, über die die „Rückabwicklung“ läuft, der kann sich ausmalen, wie professionell die Angriffe zwischenzeitlich sind.

Zahlen oder nicht zahlen? Was tun, wenn Ransomware zugeschlagen hat?

Was also tun, wenn die eigenen Dateien verschlüsselt wurden und sogar das Backup betroffen ist? Ob es tatsächlich klug ist, den Forderungen der Erpresser nachzukommen, sei dahingestellt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) jedenfalls empfiehlt, kein Lösegeld zu zahlen. Die Daten bleiben anschließend häufig verschwunden. Zum Teil wurden sogar noch Nachforderungen gestellt. Denn: Wer einmal erfolgreich erpresst wurde, bleibt erpressbar.

Die IT Security-Hersteller arbeiten an verschiedenen Mitteln und Produkten, um die Gefahren zu minimieren. Bloß: Das Antivirus-Tool mit den höchsten Erkennungsraten und die beste Firewall haben letztlich den gleichen Effekt wie ein Airbag oder ein Fahrradhelm. Irgendwann wird irgendwo ein Angriff sein Ziel treffen. Vor allem, weil sich auch die Angreifer weiterentwickeln und den Security-Herstellern die berühmte Nasenlänge voraus sind.

Intercept X von Sophos: Wie Ransomware wirkungsvoll bekämpft werden kann

Sophos hat mit Intercept X ein Produkt auf den Markt gebracht, das bestehende Antiviren-Programme im Kampf gegen Malware ergänzt. Dabei wirkt Intercept X auf verschiedenen Ebenen: Gängige Malware-Übertragungsmethoden werden geblockt, um Sicherheitslücken in Betriebssystemen, Browsern oder Anwendungen wie Adobe zu schließen. Gelingt es einer Malware dennoch auf das Dateiensystem zuzugreifen, so werden nicht-autorisierte Verschlüsselungsprozesse erkannt und blockiert.

Anti-Ransomware live erleben: der Sophos Intercept X Truck
[Abb.: Anti-Ransomware live erleben: der Sophos Intercept X Truck tourt im Februar und März 2017 durch Europa. Hier haben wir ihn in Berlin erwischt.]

Und was passiert mit den bereits betroffenen, sprich: verschlüsselten Dateien? Diese werden in ihren Originalzustand zurückversetzt. Ferner sorgt Intercept X dafür, dass die Systeme gründlich von der Malware bereinigt werden.

Ein Ursachenanalyse-Tool erlaubt zudem Einblicke, wo der Angriff in das System gelingen und auf welche Systeme zugegriffen werden konnte. Ein optimales Werkzeug also, um künftigen Angriffen noch besser vorbeugen zu können.

Schaubild Ursachenanalyse Ransomware
[Abb. Schaubild Ursachenanalyse, Quelle: Sophos]

Intercept X wird vom Hersteller selbst bereitgestellt, ist also letztlich gehostet, sprich: eine Cloud-Lösung. Manche Unternehmen und Behörden bevorzugen jedoch eine lokal installierte und verwaltete Lösung. Für sie ist seit Ende Februar Sophos Endpoint eXploit Prevention (kurz: EXP) verfügbar. Wer auf die Ursachenanalyse verzichten kann, dem bietet EXP alle Schutzfunktionalitäten von Intercept X - verwaltbar über seine lokal installierte Sophos Enterprise Console.

Unser Webinar-Tipp:

"Entdecken Sie neue Wege im Kampf gegen Cyberkriminelle"

 

Diesen Artikel teilen

Artikel vom:
22.02.2017

geschrieben von:

TAGS:
IT-Security, IT-Sicherheit, Ransomware, Sophos

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben